19.1.2004

Trots att motsatsen tidigare hävdats kommer även svenskar att hamna i det kontroversiella amerikanska systemet för bakgrundskontroll av flygpassagerare, CAPPS II.

Det blir en följd av det nyligen träffade avtalet mellan EU och USA, i vilket EU trots inledande motstånd gått med på att personuppgifter om EU-medborgare som ska resa till USA lämnas ut till amerikanska myndigheter. Avtalet försvarades bland annat av EU-kommissionären Frits Bolkestein med att EU lyckats förhandla sig till att EU-medborgare inte ska registreras i CAPPS II.

CAPPS II står för "Computer Assisted Passenger Pre-Screening Program, version 2", ett system som ska börja testas på ett antal amerikanska flygplatser under 2004. Det ursprungliga syftet är att med hjälp av "elektroniska fotspår" genomföra bakgrundskontroller för att identifiera personer som kan utgöra en säkerhetsrisk för flyget.

I USA är CAPPS II mycket kontroversiellt, eftersom många kritiker anser att systemet hotar personlig integritet och rättssäkerhet. Inget amerikanskt flygbolag har frivilligt gått med på att delta i systemet. Enligt CBS News kommer president Bush redan i februari månad att via lagstiftning tvinga in flygbolagen i utprovningen av systemet, en utprovning som förväntas börja redan i år.

Så här ska CAPPS II fungera:

1. För varje flygpassagerare samlas fyra personuppgifter in: namn, adress, telefonnummer och födelsedatum.

2. Informationen sänds av den nystartade amerikanska myndigheten Transportation Security Administration (TSA) till olika databasföretag, alltså företag som lever på att samla in och sälja allehanda personuppgifter om människor (allt från köpvanor till hälsotillstånd och ekonomiska förhållanden). Databasföretagen samkör de fyra grunduppgifterna med sina register, och returnerar till TSA en siffra som anger en sannolikhet för att personen ifråga är den han/hon utger sig för att vara.

3. Sedan körs passageraren genom ett system för riskbedömning, vilket inkluderar samkörning med ett stort antal databaser, både offentliga och privata. Det är hemligt vilka databaser som används och vilka kriterier som används för riskbedömningen. Resultatet blir att varje passagerare åsätts en riskkod: "grön" (låg risk), "gul" (förhöjd risk, resulterar i extra kontroller på flygplatserna) eller "röd" (får ej flyga alls). Enligt en uppskattning gjord av TSA kommer cirka fem procent av passagerarna att flaggas "gul" eller "röd".

Medborgarrättsorganisationer kritiserar CAPPS II på ett antal punkter. För det första får de berörda människorna inte veta vilken riskfaktor de tilldelats eller hur TSA kommit fram till den riskfaktorn. De kan därmed inte försvara sig mot felaktiga data (något som är vanligt förekommande) eller få rättelser genomförda. De kan inte överklaga risktilldelningen. De vet heller inte hur länge informationen kommer att sparas, eller till vilka andra databaser och myndigheter den kommer att spridas. En uppgift som förekommer är att den centrala databasen som blir ett resultat av CAPPS II förmodligen kommer att slås samman med databasen som hör till programmet US VISIT (som går ut på att de flesta utlänningar som ankommer till USA fotograferas och får sina fingeravtryck registrerade).

Från början var det sagt att CAPPS II bara var ett verktyg för att identifiera terrorister, men en breddning av användningen (så kallad ändamålsglidning) har redan börjat skönjas. Nu är det sagt att även efterlysta "vanliga" våldsbrottslingar ska identifieras, och förslag har lagts om att systemet även ska söka efter personer som misstänks för narkotikabrott. TSA har också flaggat för en breddning av användningen av CAPPS II till branscher utanför flyget, såsom tåg- och lastbilstrafik. Amerikanska medborgarrättsorganisationer, såsom American Civil Liberties Union, fruktar ett "sluttande plan" som slutar med att CAPPS II blir ett system för generell övervakning av hela befolkningen.

När EU-kommissionen, trots Europa-parlamentets protester, strax före jul gick med på att lämna ut EU-medborgares så kallade PNR:er ("passenger name records") till USA i samband med flygresor försvarades det alltså av EU-kommissionären Frits Bolkestein med att USA förmåtts att hålla EU-medborgare utanför CAPPS II.

Det verkar emellertid som om den nybildade amerikanska myndigheten Department of Homeland Security är inne på en annan linje. Myndighetens "chief privacy officer", Nuala O'Connor Kelly, har i ett email till författaren och integritetskämpen Edward Hasbrouck skrivit att det träffade avtalet ger USA rätt att använda EU-medborgares personuppgifter i "utprovningen" av CAPPS II. Hon skriver vidare: "We also stated publicly that we will immediately begin follow-on discussions with the EU in order to establish a framework for the transfer of PNR data for use by CAPPS-II operations once the system has been fully developed and deployed."

Jonathan Todd, en talesman för EU-kommissionen, bekräftar nu enligt den europeiska medborgarrättsorganisationen European Digital Rights webbplats att EU redan ligger i förhandlingar med USA om att låta EU-medborgares personuppgifter användas av CAPPS II även efter den inledande testfasen.

"Detta är bara ytterligare ett tecken på att när personuppgifterna väl nått USA kommer de oundvikligen att hamna i ett nätverk av övervakningssystem där det blir omöjligt att kontrollera att de hanteras enligt EU:s lagar", säger Andreas Dietl, som är "EU Affairs Director" på European Digital Rights (EDRI). Europaparlamentet har med stor majoritet antagit en resolution som säger att utlämning av EU-medborgares PNR:er till USA grovt strider mot EU:s egen dataskyddslagstiftning.